スマホの普及に伴い、SNSやネット通販が身近になった現代において、多くの人が複数のパスワードやIDを所有しています。
IDは自分で決められないことも多いですが、基本的にパスワードは自分で任意の文字や数字から作成することになります。
しかしながら、パスワードは自分で決めることができる故に、困った事態を引き起こすことがあります。
それは「脆弱なパスワードの生成」や「同一のパスワードの使い回し」です。
パスワードは、サイトにログインするための「カギ」となるものです。そのカギを他人に知られてしまうことは最も避けなければならない事態です。
どのように管理すれば、外部への流出を防ぐことができるでしょうか?
弱いパスワードとは?
一般的に、パスワードは長くて複雑なものほど強靭なものになります。
しかし、人は「ランダムで意味を成さない文字列は覚えにくい」ため、自分にとって馴染みのある覚えやすい単語や、数字の組み合わせを設定してしまいがちです。
当然、そういったパスワードは他人から推測されやすく、脆弱なパスワードといわれます。以下に、ありがちな弱いパスワードの一例を挙げます。
誕生日などの生年月日を組み合わせたもの。名前を含めたもの
例)「1990-AAAA」「XXXX-0406」「Ichiro-19XX」
電話番号や郵便番号、住所の一部、車のナンバーなどを用いたもの
例)「0901234XXXX」「12-34XXX」
学籍番号、社員番号などを用いたもの
例)「00A-0000・・・」
辞書に載っている単語、固有名詞を用いたもの
例)「apple-000000」「freedom」「3.1415926535」「Tokyo」
複雑性を欠いたもの
例)「123456789」「ABC123」「qazwsxedc」「!”#$%&」
これらのパスワードは、その人の個人情報を知っていると推測できてしまうものであったり、パソコンのキーボードをある規則性にのって順番に押しただけのものだったりします。
「qazwsxedc」や「!”#$%&」は一見すると、複雑そうに見えますが、キーボードをある地点から順番に押していっただけのものになります。
「qwerty」
「poiuytr」
「qaz1wsx2edc3」
「zxcvbnm」
「asdfghjk」
これらは覚えやすいパスワードなので、同時に弱いパスワードともいえます。
参考に、パスワード管理ソフトなどを販売しているNordpass社が発表した「Most common passworsd of 2020」(つかってはいけないパスワード)というものを下記に記します。
簡単にいうと弱いパスワードランキングですね。
公開された脆弱パスワードトップ20は以下の通りです。
ご覧の通り覚えやすく、入力しやすいものばかりとなっています。
使ってはいけないパスワードランキング
2位 123456789
3位 picture1
4位 password
5位 12345678
6位 111111
7位 123123
8位 12345
9位 1234567890
10位 senha
11位 1234567
12位 qwerty
13位 abc123
14位 Million2
15位 000000
16位 1234
17位 iloveyou
18位 aaron431
19位 password1
20位 qqww1122
海外のランキングなので、日本人からするとよくわからないのもありますが、概ね納得できるランキングになっています。
強いパスワードとは?
生年月日や氏名、固有名詞もダメとなると、どのようなパスワードが良いのでしょうか?答えは「複雑で、長いパスワード」ということになります。
- 意味を持たず
- 英字の大文字、小文字、記号をランダムに配置し
- 文字数の多いパスワード
このようなパスワードになりますので、例えば、以下のようなものです。
「$AcwaChu3%y&pF2yC(ZU!tcDY」
「%#5&nj#USpT+nkvbHbcX!jb6a」
「cD),nRkYsu,qq..4aQ*fKzsbz」
人間は、どうしても意味を持たせたくなってしまうという習性がありますので、こういった意味を成さない文字の羅列を作る時は、パスワード生成サイトといったツールの力を借りることをお勧め致します。
上記のパスワードの一例もパスワード生成ツールで作ったランダムな文字配列です。
生成するパスワードも、何文字にするのか、大文字小文字記号を混ぜるのかなど、ある程度、複雑性を調整することができますのでかなり便利なサイトです。
パスワードに使わない方が良い文字
後述する[パスワード管理ソフト]を使えば、あまり関係ない話なのですが、パスワードを作る際に、似ている文字が存在する文字はできるなら使わない方が、入力ミスなどが減ります。
例えば以下のようなモノです。
「数字の0(ゼロ)」と「大文字のO(オー)」(0,O)
「小文字のm」と「小文字の rn(RN、アールとエヌ)」(m,rn)
大文字と小文字で形があまり変わらないアルファベットも注意です。
「K,k」「W,w」「X,x」「Z,z」「V,v」など
これらの他には、
「数字の9」と「小文字のq」
「数字の6」と「小文字のb」
なども注意が必要です。
パスワード管理ソフトとは
複雑で意味を成さず、かつ長いパスワードとなれば、基本的には覚えておくことはできません。
ましてや複数のサイトで違うパスワードを設定するとなると、複数個覚えておかなければならず、完璧に記憶するのは一般人には無理です。
しかも入力すること自体も正直面倒で、かなりの時間がかかってしまいます。そこで考えつくのが、パソコン上のワードやメモ帳に書いておくという方法。
メモを取ったらデスクトップ上にアイコンを「パスワード」作ってフォルダー管理する方法です。
例「〇〇通販 ID:△△△ パスワード:123456」
この方法だと楽は楽なのですが、パソコン上に侵入されたり誰かにパソコンを見られたときに一瞬でパスワードが割れてしまいます。
よく言われる例えでは、
「家のカギをポストや玄関脇の植木鉢の下に置くようなもの」
と表現されています。
そこで便利なのが「パスワード管理ソフト」というものです。これは簡単に言うと、自分しか開くことのできないメモ帳みたいなものです。
ソフトによって多少の違いはあると思いますが、使い方はとてもシンプルで、パスワード管理ソフトの中に、サイト名とIDやパスワードを入力しておくだけ。
どこかのサイトにログインしたい時に見たいときに、パスワード管理ソフトを開いてパスワードをコピペで張り付ける、という感じです。
ではそのパスワード管理ソフトを開くにはどうしたら良いのか?
というと、もちろんパスワードを入力して開きます。
逆に言えば、管理ソフトを導入すれば、覚えておくパスワードは、それ一つだけ、ということです。
私が使用している「KeePass」というソフトではセキュリティの観点から、oコピペしたパスワードも10秒ほどで自動的に消去されるという仕様になっています。
※「Ctrl+C」でコピーした内容を複数記憶できる機能クリップNOTEを使うと記憶されてしまうので、注意してください。
※パスワード管理ソフトはいくつも種類がありますので、ご自身で一番使い勝手が良さそうなものを見つけてください。
※Windows7まではフォルダーにパスワードをかけることができましたが、8と10はWindowsの標準機能にパスワード保護機能は削除されました。
大文字と小文字は混ぜない方が良い?
パスワードを設定する時によく目にする注意書きに以下のようなものがあります。
・大文字、小文字を混合してください
・定期的なパスワードの変更をしてください
実は、この2点は、行うことによってかえってパスワードが脆弱になると言われています。なぜそのようなことになるのでしょうか?
大文字と小文字の混合の強制
大文字と小文字は、各26文字ずつありますので、合計52文字あることになります。
当然、混合パスワードは、大文字のみ、小文字のみのパスワードよりは複雑になりますので、セキュリティ面においては強くなるはずです。
ですが、大文字と小文字を混ぜることが必須とされる場合は、かえって組み合わせ数が少なくなり、弱いパスワードとなります。
どういうことなのか、実際に例を挙げてみます。
文字数を多くすると大変なので、ここでは「A・B・C」の3文字のみ使い、文字数は2文字だけの短いパスワードを作ることにします。
大文字と小文字を必ず混合させて作れ、と言われたら、出来上がるパスワードは以下の18パターンになります。
aA aB aC bA bB bC cA cB cC
しかし、大文字と小文字、両方使えるけど、必ずしも混ぜなくても良い場合は、「大文字のみのパスワード」と「小文字のみのパスワード」が出来上がるため、先の18パターンに加えて、以下の18パターンも追加され、合計36パターンとなります。
aa ab ac ba bb bc ca cb cc
これが大文字と小文字を混ぜることを強制された時に、パスワードが弱くなる理由です。
今は2文字という短いパスワードでしたが、長くなっても理屈は同じです。しかし、自分でそうしたくてもサービス側がそのようなパスワードを求めてくる場合は、実はこちら側ではどうすることもできないことではあります。
パスワードを破る総当たり攻撃
パスワードを解析しようとする際に、理論上存在しうる全てのパターンを試していく、総当たり攻撃(ブルートフォースアタック)という手法があります。
例えば、ロッカーなどによくついている0~9までの数字がついている3桁のダイヤル錠を000~999までの1,000通り全てを試していく方法です。
先ほどの大文字小文字強制混合など、使う文字を指定・制限してしまうと、この総当たり攻撃に費やす時間が減るので、結果として突破されやすくなってしまいます。
例えば、「0から999の間で好きな数を選んでいいですが、セキュリティ上必ず3桁にしてください」という指示が入ると、
自ずと出来上がるパスワードは「100~999」の間の値をとることになるので、000~099は調べなくても良いということになります。
以上のことから、大文字、小文字、数字を必ず含ませろ、という指示は、
・小文字のみのパスワード
・記号のみのパスワード
・数字のみのパスワード
が除外されるので、パスワードを盗もうしている悪い人からすれば、調べる範囲が狭まってかえって手間が省けるということになってしまうのです。
パスワードを強くする簡単な方法
パスワードを強くするには、大文字・小文字・記号などを複雑に混ぜることとは別に、単純に長くするということがとても有効です。
パスワード管理ソフトを使えば、覚える必要はないので、長くすることにデメリットはありません。
パスワードを決める際は、大抵の場合、8文字以上にするように指示が入ります。
パスワードを決める際に使って良い文字は、
「大文字26文字、小文字26文字、数字10文字、記号34文字」
の合計96文字が使えるケースが多いです。
8文字のパスワードの場合、組み合わせの数は96の8乗となり、
「7,213兆8,957億8,983万8,336通り」となります。
これに1文字足して9文字にするだけでも、組み合わせ数はグッと上がり、
「69京2,533兆9,958億2,448万256通り」となります。
10文字ともなると、
「6,648京3,263兆5,991億5,010万4,576通り」まで増えます。
余談ですが、筆者がとあるサービスを利用する際に、パスワードを設定したのですが、最大31文字まで受け付けていたので、折角なので最大の31文字のパスワードにしているものがあります。
31文字のパスワードの組み合わせ数は、「28那由他 2,103阿僧祇 3,375恒河沙 147極 7,558載 3,276正 1,816潤 2,891溝 4,812穣 9,201杼 3,532垓 8,187京 3,410兆 7,795億 863万 7,696通り」となります。(笑)
パスワードの定期的な変更は有効か?
ちょっと前までは、「定期的なパスワードの変更をお願いします」というサービス側からのお願いが出ていたのですが、2018年に総務省が「パスワードの定期的な変更は不要」と発表がありました。
これは日本だけのことではなく、世界的にもパスワードを定期的に変更させるべきではないという流れになってきています。
勿論、1度でも流出や漏洩した、もしくはその疑いがあるパスワードは、迅速に変更する必要があります。
なぜ、定期的な変更は不要と言われるようになったかというと、理由は簡単で、セキュリティが弱体化するからです。
すると人間は、徐々に面倒臭くなり、より簡単で覚えやすいパスワードを設定するようになってしまうのです。
また、ちゃんと複雑なパスワードに設定している人も、覚えられずに、メモ帳や手帳に書いているのを何らかの形で他人に見られて、流出したという事例もあったようです。
パスワードの変更自体は、危険な行為ではありませんが、それに伴うパスワードの簡略化、使い回し、管理の杜撰さが問題となっています。
セキュリティ強化に有効な手段
近年は、サービス側もセキュリティ強化は本気ですから、色々な手段を提示してくれています。
生体認証システム
例えば、最近主流となっている生体認証ですが、かなり有効な手段として注目されています。
生体認証とは顔認証、指紋、静脈、虹彩といった、その人本人しか持たないものをパスワードとして使う方法です。
これは、例え導入したくても、できる環境がないとできないのが難点ではあります。
ワンタイムパスワード
ログインする際に、別の端末にログインしようとしていますが、本人ですか?と問いかけが着たり、またはその場限りのワンタイムパスワードが送られてくるというものです。
二重認証にしておくことで、無断アクセスなどのリスクは軽減されます。ですが、どの対策をしても100%安全ということはありません。
まとめ
パスワード強化のためのまとめ
・パスワードは生年月日などの推測されそうなパーソナルなワードにしない
・辞書に載っている単語、固有名詞などは使わない
・1サイトごとに新しいパスワードにして、同じものを使い回さない
・意味をもたない文字の羅列にする
・できるだけ長いパスワードにすると強固になる
・パスワードは定期的な変更はしない(しても良いが複雑なものにして、管理もきっちりする)
